1、修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容(写要点即可)1.0王华刚2009/05/31无1.12009/06/15配置编号配置加固项编号1.1.12009/07/03更新编号更新加固项编号注1:每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。注2:文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。Juniper路由器基本加固方案目录(包括封面) 1修改记录 21 概述 4内部适用性说明 4外部引用说明 4术语和定义 4符号和缩略语 42 Juniper路由器安全配置操作指导 52.1 ZTE-JUNIPER-R-E01帐号安全加固操作
2、 52.1.1 ZTE-JUNIPER-R-EH01-01删除锁定无用帐号 52.1.2 ZTE-JUNIPER-R-EM01-02配置只读用户 52.1.3 ZTE-JUNIPER-R-EH01-03配置强密码 52.1.4 ZTE-JUNIPER-R-EL01-04配置radius认证(可选) 52.2 ZTE-JUNIPER-R-E02网络服务/IP协议要求 62.2.1 ZTE-JUNIPER-R-EM02-01关闭FTP服务 62.2.2 ZTE-JUNIPER-R-EH02-02Telnet连接白名单配置 62.2.3 ZTE-JUNIPER-R-EM02-03Telnet连接数限
3、制 62.2.4 ZTE-JUNIPER-R-EL02-04配置NTP服务器或客户端(可选) 62.2.5 ZTE-JUNIPER-R-EM02-05在网络边界,设置安全访问控制 62.2.6 ZTE-JUNIPER-RH-E02-06设置SNMP访问白名单 82.2.7 ZTE-JUNIPER-RH-E02-07系统应配置为SNMP V2或以上版本 92.2.8 ZTE-JUNIPER-R-EH02-08配置可接收SNMP消息的主机地址 92.2.9 ZTE-JUNIPER-R-EL02-09配置动态路由协议(BGP/ MP-BGP /OSPF等)时启用带加密方式的身份验证(可选) 92.2
4、.10 ZTE-JUNIPER-R-EL02-10配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer(可选) 102.2.11 ZTE-JUNIPER-R-EL02-11对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor(可选) 102.2.12 ZTE-JUNIPER-R-EL02-12禁止发布或接收不安全的路由信息(可选) 102.2.13 ZTE-JUNIPER-R-EL02-13启用RSVP标签分发协议时,打开RSVP协议认证功能(可选) 102.3 ZTE-JUNIPER-R-E03日志记录要求 112.3.1 Z
5、TE-JUNIPER-R-EL03-01配置登录日志 112.3.2 ZTE-JUNIPER-R-EL03-02配置命令日志 112.3.3 ZTE-JUNIPER-R-EL03-03配置事件日志 112.3.4 ZTE-JUNIPER-R-EL03-04配置远程日志服务器(可选) 112.3.5 ZTE-JUNIPER-R-EL03-05设置系统的配置更改信息保存到change.log文件 112.4 ZTE-JUNIPER-R-E04杂项 112.4.1 ZTE-JUNIPER-R-EL04-01配置定期备份配置文件功能(可选) 111 概述内部适用性说明本方案是在业务研究院网络安全规范中
6、各项要求的基础上,提出Juniper路由器基本加固方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动路由器设备安全功能规范中国移动JUNIPER路由器安全配置规范术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下:蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下:公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中:S意为检查;E意为加固风险级别中:H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中约定:系统配置命令需要先进入JUNOS编辑模式:rootxxxconfigureroot#edit system命令执行完毕
7、后,需要运行commitroot#commit2 Juniper路由器安全配置操作指导2.1 ZTE-JUNIPER-R-E01帐号安全加固操作2.1.1 ZTE-JUNIPER-R-EH01-01删除锁定无用帐号show configuration system login查看当前可用帐号,删除不必要的帐号root#delete system login user abc32.1.2 ZTE-JUNIPER-R-EM01-02配置只读用户root#set system login user weihuroot#set system login user weihu class read-on
8、ly普通的状态查看操作必须使用weihu帐号进行2.1.3 ZTE-JUNIPER-R-EH01-03配置强密码root#set system root-authentication plain-text-passwordpassword:newpassword重复输入新密码root#set system login user weihu authentication plain-text-password 2.1.4 ZTE-JUNIPER-R-EL01-04配置radius认证(可选)root#set system authentication-order radiusroot#set s
9、ystem authentication-order passwordroot#set system radius-server 10.1.1.1root#set system radius-server 10.1.1.2root#set system radius-server 10.1.1.1 port 1645root#set system radius-server 10.1.1.2 port 1645root#set system radius-server 10.1.1.1 secret connpasswordroot#set system radius-server 10.1.
10、1.2 secret connpassword2.2 ZTE-JUNIPER-R-E02网络服务/IP协议要求2.2.1 ZTE-JUNIPER-R-EM02-01关闭FTP服务root# delete system services ftp2.2.2 ZTE-JUNIPER-R-EH02-02Telnet连接白名单配置root# set firewall filter filtername1 term a from source-address 10.1.1.1/32root# set firewall filter filtername1 term a from source-addres
11、s 10.1.1.2/32root# set firewall filter filtername1 term a then acceptroot# set firewall filter filtername1 term b from protocol tcp port telnetroot# set firewall filter filtername1 term b then rejectroot# set firewall filter filtername1 term c then accept2.2.3 ZTE-JUNIPER-R-EM02-03Telnet连接数限制root# s
12、et system services telnet connection-limit 10 root# set system services telnet rate-limit 52.2.4 ZTE-JUNIPER-R-EL02-04配置NTP服务器或客户端(可选)root# set system ntp authentication-key 1 type md5 value md5passwordroot# set system ntp server 10.1.1.1root# set system ntp server 10.1.1.22.2.5 ZTE-JUNIPER-R-EM02-0
13、5在网络边界,设置安全访问控制过滤与业务不相关的流量示例1:set firewall filter filtername2 term a from source-address 10.1.1.1/32set firewall filter filtername2 term a from destination-address 10.1.2.1/32set firewall filter filtername2 term a from protocol tcpset firewall filter filtername2 term a from protocol udpset firewall
14、filter filtername2 term a from source-port 445set firewall filter filtername2 term a from destination-port 145set firewall filter filtername2 term a then acceptset firewall filter filtername2 term b then reject过滤与业务不相关的流量示例2:set firewall filter filtername2 term a from protocol udp destination-port 1434set firewall filter filtername2 term a then discardset firewall filter filtername2 term b from protocol tcp port 445set firewall filter filtername2 term b then discardset firewall filter filtername2 term c from port 5800 5900set fir
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1